Обновления безопасности
Назад к п.2
2.1376 Множественные уязвимости cURL(CVE-2022-27776, CVE-2022-27775, CVE-2022-27774, CVE-2022-22576)
| Идентификатор бюллетеня | ROS-20220516-09 |
| Идентификатор CVE | CVE-2022-27776 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-03040 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:P/I:N/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Описание уязвимости | Уязвимость утилиты командной строки cURL связана с утечкой данных аутентификации или заголовков файла cookie во время перенаправления HTTP на тот же хост, но с другим номером порта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, ошибочно отправить тот же набор заголовков на хосты, которые идентичны первому, но используют другой номер порта или схему URL |
| Идентификатор CVE | CVE-2022-27775 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-03038 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:P/I:N/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Описание уязвимости | Уязвимость утилиты командной строки cURL связана с неправильным управлением внутренними ресурсами при работе с протоколом IPv6. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, привести к неправильному соединению, когда одна передача использует идентификатор зоны, а последующая передача использует другой (или не использует) идентификатор зоны |
| Идентификатор CVE | CVE-2022-27774 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-03041 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:C/I:N/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Описание уязвимости | Уязвимость утилиты командной строки cURL связана с попытками приложения выполнить перенаправления во время процесса аутентификации и не рассматривает разные номера портов или протоколы как отдельные цели аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить перенаправление на другой номер порта протокола, и таким образом заставит cURL разрешить такое перенаправление и передать учетные данные |
| Идентификатор CVE | CVE-2022-22576 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-03036 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:C/I:C/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
| Описание уязвимости | Уязвимость утилиты командной строки cURL связана с ошибками повторного использования соединений OAUTH2 для протоколов с поддержкой SASL, таких как SMPTP(S), IMAP(S), POP3(S) и LDAP(S) (только openldap). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повторно использовать соединения с аутентификацией OAUTH2, не убедившись должным образом, что соединение было аутентифицировано с теми же учетными данными, которые установлены для этой передачи |
| Наименование уязвимого пакета: | curl |
| Версия уязвимого пакета младше: | 7.81.0-2 |
| Пакет обновления: | curl-0:7.81.0-2.el7.3.x86_64 |
| Версия ОС | 7.3 |
| Архитектура ОС | х86_64 |
| Возможные меры по устранению уязвимости |
|
| Дата публикации бюллетеня | 16.05.2022 |
Дата последнего изменения: 08.06.2022
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.